咨询一个数据包网络跳转的问题

草中宝

Gallop_hu 发表于 2014-07-13 23:15
回复 8# phanx

本人对IPTABLES不了解，对网络不了解，让你见笑了。

草中宝

为了惠及更加多不熟悉iptables的朋友，我把我的测试也简单的做个备注吧

1、phanx 给的脚本，是加在103上的。
2、102和104上的iptables要关掉或者开放相应的端口。
3、nc包可能要自己安装，我用的版本是 nc-1.84-22.el6.x86_64.rpm
4、我用局域网测试，103上的/etc/sysconfig/iptables内如如下

[root@S103 /]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
# 下面六行是加入的
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 5000 -j DNAT --to-destination 90.0.12.104:5000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 5000 -j SNAT --to-source 90.0.12.103
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j DNAT --to-destination 90.0.12.102:5000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j SNAT --to-source 90.0.0.103
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

# 下面两行是加入的
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 5000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

# 下面四行是加入的
-A FORWARD -p tcp -d 90.0.12.102 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 5000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 5000 -m state --state ESTABLISHED,RELATED -j ACCEPT


-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

5、我是用局域网IP成功做测试的，不知道因特网的IP如何在模拟器下模拟。

草中宝

还有个问题，就是104上的监听，可能很快就退出，原因不明。

Gallop_hu

草中宝 发表于 2014-07-22 21:11
本人对IPTABLES不了解，对网络不了解，让你见笑了。

其实我也是菜鸟，共同努力。。我看iptables也是看了好久。。。看明白了后觉得简单，但是实际上还是有不明白的东西

phanx

回复 12# 草中宝


    局域网IP和公网IP没有任何区别。  IP只是个代号而已。
    这个问题，还有不清楚的地方，去看我写的blog。

    http://blog.chinaunix.net/uid-7549563-id-4353034.html

草中宝

phanx 发表于 2014-07-23 02:20
回复 12# 草中宝

不好意思，再咨询下，上面的端口都是5000，如果A、B、C三台服务器监听的端口都不一样，如A机器（90.0.12.102）是2000，B机器（90.0.12.103）是3000，C机器（90.0.12.104）是4000，该怎么修改这个脚本呢。我试着修改了几次，通信都不通。我修改的脚本如下

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.104:4000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 4000 -j SNAT --to-source 90.0.12.103:3000
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.102:2000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.102 --dport 2000 -j SNAT --to-source 90.0.12.103:3000
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp -d 90.0.12.102 --dport 2000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 2000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --dport 4000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 4000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

phanx

回复 16# 草中宝

看来你还是没有理解喔。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.104:4000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 4000 -j SNAT --to-source 90.0.12.103:3000
                                                                                                           这里应该是 --to-source 90.0.12.103
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.102:2000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.102 --dport 2000 -j SNAT --to-source 90.0.12.103:3000
                                                                                                           这里应该是 --to-source 90.0.12.103
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp -d 90.0.12.102 --dport 2000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 2000 -m state --state ESTABLISHED,RELATED -j ACCEPT
         这里应该是       -d 90.0.12.104
-A FORWARD -p tcp -d 90.0.12.104 --dport 4000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 4000 -m state --state ESTABLISHED,RELATED -j ACCEPT
         这里应该是       -d 90.0.12.102
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

草中宝

phanx 发表于 2014-08-11 17:36
回复 16# 草中宝

看来你还是没有理解喔。

谢谢 phanx ，看了下phanx的签名，佩服得紧。

确实还是弄不太明白。我先消化几天。